'e-Signature' ลายเซ็นอิเล็กทรอนิกส์ ที่กฎหมายยอมรับ

'e-Signature' ลายเซ็นอิเล็กทรอนิกส์ ที่กฎหมายยอมรับ

ทำความรู้จัก "e-Signature" ลายเซ็นอิเล็กทรอนิกส์ ที่เมื่อเร็วๆ นี้ สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ได้ออกประกาศมาตรฐาน เพื่อใช้เป็นแนวทางและข้อเสนอแนะให้กับหน่วยงานที่ต้องการจะใช้ดำเนินการ

เมื่อไม่นานมานี้ สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (ETDA) ได้ออกประกาศมาตรฐานลายมือชื่ออิเล็กทรอนิกส์ เพื่อเป็นแนวทางและข้อเสนอแนะให้กับหน่วยงานที่ประสงค์จะใช้ e-Signature ในการดำเนินงาน ซึ่งผู้เขียนเห็นว่ามีประโยชน์และจะช่วยยกระดับมาตรฐานในการทำธุรกรรมอิเล็กทรอนิกส์ในประเทศไทยให้ไปในทิศทางเดียวกัน บทความฉบับนี้จึงถือโอกาสอธิบายและขยายความในเรื่องดังกล่าว

  • นิยามตามกฎหมายของ e-Signature

พ.ร.บ.ธุรกรรมทางอิเล็กทรอนิกส์ได้กำหนดว่า “e-Signature” หรือ “ลายมือชื่ออิเล็กทรอนิกส์” หมายถึง การสร้างชุดข้อมูลอิเล็กทรอนิกส์ (ในรูปแบบตัวเลข อักษร เสียง หรือสัญลักษณ์อื่นใด) เพื่อใช้แสดงความสัมพันธ์กับบุคคลผู้เป็นเจ้าของชุดข้อมูลดังกล่าว (เจ้าของลายมือชื่อ) โดยมีวัตถุประสงค์หลัก 2 ประการคือ 1.เพื่อระบุตัวบุคคลผู้เป็นเจ้าของลายมือชื่ออิเล็กทรอนิกส์และสามารถแสดงความเชื่อมโยงไปยังชุดข้อมูลอิเล็กทรอนิกส์ และ 2.เพื่อแสดงว่าเจ้าของลายมือชื่อยอมรับข้อความในมูลอิเล็กทรอนิกส์ชุดดังกล่าวนั้น

ทั้งนี้ เจตนารมณ์ตามกฎหมายของการสร้าง e-Signature ไม่ได้ต่างไปจาก การใช้ปากกาลงลายมือชื่อบนกระดาษในแบบเดิม” ซึ่งมีวัตถุประสงค์ในการกำหนดให้เจ้าของลายมือชื่อยืนยัน ยอมรับ หรือรับรองข้อความตามที่ปรากฏในเอกสารหรือเพื่อเป็นขั้นตอนหนึ่งที่กฎหมายในหลายเรื่อง (เช่น สัญญาเช่าอสังหาริมทรัพย์ สัญญากู้ยืมเงินเกินกว่า 2,000 บาท) กำหนดให้ต้องทำเป็นหนังสือและมีการลงลายมือชื่อคู่สัญญาไว้เพื่อเป็นหลักฐานในการฟ้องบังคับคดีในอนาคต ซึ่งหากปราศจากกลไกของกฎหมายธุรกรรมอิเล็กทรอนิกส์แล้ว การทำธุรกรรมออนไลน์ต่างๆ ที่ต้องมีการลงลายมือชื่อกำกับย่อมไม่มีผลทางกฎหมายที่สมบูรณ์

  • องค์ประกอบในการสร้าง e-Signature

กฎหมายไม่ได้ระบุว่าเทคโนโลยีอะไรบ้างที่จะสร้าง e-Signature ได้ แต่กฎหมายจะยอมรับก็ต่อเมื่อ e-Signature นั้นเป็นไปมาตรฐานที่กฎหมายกำหนดโดยจะต้องมีองค์ประกอบที่สำคัญ คือ

1.สามารถพิสูจน์และยืนยันตัวตนเจ้าของลายมือชื่อได้ โดยต้องแสดงความสัมพันธ์ระหว่าง “เจ้าของ e-Signature” กับ “ข้อมูลอิเล็กทรอนิกส์” ที่นำมาประกอบกันได้ ซึ่งความน่าเชื่อถือของ e-Signature ต้องพิจารณาคู่กับระดับความน่าเชื่อถือของไอเดนทิตี (IAL) ในการพิสูจน์ตัวตน และระดับความน่าเชื่อถือของสิ่งที่ใช้ยืนยันตัวตน (AAL) ในกระบวนการยืนยันตัวตน

2.เจตนาในการลงลายมือชื่อ กล่าวคือ ต้องแสดงได้ว่าเจ้าของ e-Signature เป็นผู้ลงลายมือชื่อเกี่ยวกับข้อความนั้นไว้เอง โดยผู้สร้าง e-Signature อาจกำหนดรายละเอียด วัตถุประสงค์ และเหตุผลในการลงลายมือชื่อไว้ในแบบฟอร์มให้ชัดเจนเพื่อให้เจ้าของ e-Signature เข้าใจและยอมรับในการลงลายมือชื่อนั้น

3.ครบถ้วนและไม่เปลี่ยนแปลง กล่าวคือ ในกระบวนการเก็บรักษา e-Signature ผู้เก็บต้องประกันได้ว่า ข้อมูลอิเล็กทรอนิกส์ต่างๆ เกี่ยวกับ e-Signature มีความครบถ้วนเหมือนตอนแรกสร้างและไม่ถูกเปลี่ยนแปลงระหว่างทาง

  • ประเภทและตัวอย่างของ e-Signature อาจแบ่งได้ตามบริบทของกฎหมายใน 3 รูปแบบ

1.แบบทั่วไป หรือแบบที่กฎหมายระบุว่า “ต้องใช้วิธีการที่น่าเชื่อถือในการสร้าง” ซึ่ง “วิธีการ” สร้าง e-Signature ในแบบนี้จะมี “ความน่าเชื่อถือ” หรือไม่นั้น ก็ต้องอยู่ที่การพิสูจน์โดยพิจารณาได้จากพฤติการณ์ที่เหมาะสม เทคโนโลยีที่เลือกใช้ ประกอบกับความเสี่ยงของประเภทธุรกรรมเพื่อดูว่า “วิธีการ” ดังกล่าวมีความมั่นคงรัดกุม และเหมาะสมกับธุรกรรมประเภทนั้นหรือไม่

ตัวอย่างของ e-Signature แบบทั่วไป เช่น การตั้งรหัสเข้าใช้บริการ (รหัส ATM) การป้อนข้อมูล One Time Password (OTP) การกดปุ่ม Ok/Send เพื่อส่งหรือยอมรับข้อความ การพิมพ์ชื่อไว้ท้ายอีเมล การสแกนภาพลายมือชื่อที่เขียนด้วยมือและแนบไปกับเอกสารอิเล็กทรอนิกส์ หรือการใช้ Stylus เป็นต้น

2.แบบเชื่อถือได้ เหตุที่กฎหมายรองรับในความน่าเชื่อถือก็เพราะ 1) ข้อมูลที่ใช้สร้าง e-Signature เชื่อมโยงไปยังเจ้าของได้ 2) อยู่ภายใต้การควบคุมของเจ้าของในตอนที่สร้าง และ 3) เจ้าของสามารถตรวจพบการเปลี่ยนแปลง/ปลอมแปลงได้

ตัวอย่าง e-Signature ประเภทนี้ เช่น Digital Signature ที่อาศัยโครงสร้างพื้นฐานกุญแจสาธารณะ (PKI) และ เทคโนโลยีเปรียบเทียบข้อมูลชีวมิติ (BiometricComparison) เป็นต้น ดังนั้นในทางปฏิบัติที่กฎหมายว่า “เชื่อถือได้” ก็เพราะ e-Signature ในแบบนี้มีการใช้ระบบหรือเทคโนโลยีที่มั่นคงและรัดกุมกว่าในกรณีแรก ประกอบกับระดับการพิสูจน์ตัวตน (IAL2 ขึ้นไป) และการยืนยันตัวตน (AAL2 ขึ้นไป) ก็อยู่ในระดับที่สูงและน่าเชื่อถือกว่าแบบทั่วไปด้วยเช่นกัน

3.แบบเชื่อถือได้และมีใบรับรอง e-Signature จากผู้ให้บริการออกใบรับรอง ซึ่งแบบที่ 3 คือ การสร้าง e-Signature โดยอาศัยเทคโนโลยี PKI ตามแบบที่ 2 เพียงแต่เพิ่มเติมโดยมีคนกลาง หรือผู้ให้บริการออกใบรับรองเป็นผู้ออก certificate เพื่อสนับสนุนความถูกต้องของ e-Signature นั้น ซึ่งข้อดีในทางกฎหมายคือคนกลางนี้เปรียบเสมือนพยานคอยรับรองในการสร้าง e-Signature ให้เจ้าของลายมือชื่อได้อีกชั้นหนึ่ง

  • ภาระการพิสูจน์ตามกฎหมาย

เมื่อกฎหมายกำหนดลายมือชื่อไว้หลายประเภท แน่นอนว่าภาระพิสูจน์ในทางกฎหมายย่อมแตกต่างกัน โดยหากเป็น e-Signature แบบทั่วไป ผู้อ้างว่า e-Signature น่าเชื่อถือย่อมมีหน้าที่นำสืบ เช่น นาย ก.โต้แย้งว่า e-Signature แบบ Stylus ของนาย ข.ไม่ใช่ลายมือชื่อที่แท้จริง นาย ข.ผู้อ้างว่าลายมือชื่อของตนนั้นเป็นของจริงมีหน้าที่ในการหาพยานหลักฐานมาพิสูจน์

ในทางกลับกันหากเป็น e-Signature แบบเชื่อถือได้ กฎหมายจะสันนิษฐานไว้ก่อนว่าน่าเชื่อถือภาระการพิสูจน์จึงตกเป็นของผู้โต้แย้งว่าไม่น่าเชื่อถือ” เช่น นาย ค.โต้แย้งว่า Digital Signature ของ นาย ง.ไม่น่าเชื่อถือ นาย ค.ผู้โต้แย้งมีหน้าที่ในการหาพยานหลักฐานมาพิสูจน์ว่า Digital Signature ของนาย ง.ไม่น่าเชื่อถืออย่างไร

ท้ายที่สุดในทางปฏิบัติ การเลือกประเภทของ e-Signature ขึ้นอยู่กับหลายปัจจัย โดยต้องพิจารณา factors ต่างๆ ประกอบเช่น มูลค่าและความถี่ในการทำธุรกรรม ความสอดคล้องของระบบงานภายในองค์กร รวมถึงระดับการยอมรับของคู่สัญญา โดยอาจพิจารณาจากมาตรฐานที่ใช้ในอุตสาหกรรมประเภทนั้นประกอบ ซึ่งหากท่านปฏิบัติตามข้อกำหนดของกฎหมายแล้ว ลายเซ็นอิเล็กทรอนิกส์ที่ใช้นั้นยอมมีผลในทางกฎหมาย

[บทความนี้เป็นความเห็นส่วนตัวของผู้เขียน]